Patche layer7 na kernel 2.6.36 i iptables 1.4.10

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

vitos
Użytkownik
Posty: 104
Rejestracja: 2005-10-30, 09:13
Lokalizacja: Pszów
Kontakt:

Patche layer7 na kernel 2.6.36 i iptables 1.4.10

Post autor: vitos »

Czy ma ktoś może działająca patche layer7 na kernel 2.6.36 i iptables 1.4.10 ?
Ja ściągałem z dev.openwrt.org. Kernel oraz iptables kompilują się po spatchowaniu, ale niestety layer7 nie działa. Po wpisaniu polecenia np.

Kod: Zaznacz cały

iptables -A FORWARD -m layer7 --l7proto aim -j DROP
wyskakuje

Kod: Zaznacz cały

iptables: Input/output error.

Kompletnie nie wiem o co może chodzić. Pattern aim.pat oczywiście istnieje w katalogu /etc/l7-protocols

Jakby ktoś miał działające patche będę niezwykle wdzięczny.
Witek

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Patche layer7 na kernel 2.6.36 i iptables 1.4.10

Post autor: Pajaczek »

A gdzie na openwrt znalazłeś te patche?? Openwrt jest na wiele platform, zwykle spotykane na arm/mips, być może ściągnięte patche wpływały wyłącznie na gałąź kernela dotyczącą tych właśnie architektur. Zajrzyj do pliku patcha.

Awatar użytkownika
dienet
Moderator
Posty: 2106
Rejestracja: 2007-07-24, 18:58
Lokalizacja: Racibórz/Rybnik
Kontakt:

Re: Patche layer7 na kernel 2.6.36 i iptables 1.4.10

Post autor: dienet »

Pajaczek, a co ma iptables i w ogóle l7 do architektury? Bo ja jestem przekonany że to jest platform-independent.

vitos, wygląda na to że cały wysiłek developerów skupia się teraz na tworzeniu l7 w userspace, więc nie tworzą już patchy dla kerneli nowych. Czas chyba zmienić podejście.
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]

vitos
Użytkownik
Posty: 104
Rejestracja: 2005-10-30, 09:13
Lokalizacja: Pszów
Kontakt:

Re: Patche layer7 na kernel 2.6.36 i iptables 1.4.10

Post autor: vitos »

dienet pisze:Pajaczek, a co ma iptables i w ogóle l7 do architektury? Bo ja jestem przekonany że to jest platform-independent.
Dokładnie. Projekt WRT jest na źródłach linuksowych dla różnego sprzętu. Architektura nie ma tu nic do rzeczy pod warunkiem, że masz dla niej właściwy kompilator.
dienet pisze:wygląda na to że cały wysiłek developerów skupia się teraz na tworzeniu l7 w userspace, więc nie tworzą już patchy dla kerneli nowych. Czas chyba zmienić podejście.
Raczej tak to wygląda, że przechodzą na layer7 w userspace. Nie wiem jak z wydajnością, bo kiedyś czytałem, że wersje kernelowskie były znacznie szybsze.

Teraz moje spostrzeżenia:
patche na kernel 2.6.34 działają poprawnie https://dev.openwrt.org/browser/trunk/t ... hes-2.6.34
100-netfilter_layer7_2.21.patch
101-netfilter_layer7_pktmatch.patch
110-netfilter_match_speedup.patch
150-netfilter_imq.patch
200-netfilter_xtables_align.patch
nakładane po kolei zgodnie z numeracją.

Iptables 1.4.10 też działa z kernelem 2.6.34 poprawnie https://dev.openwrt.org/browser/trunk/p ... es/patches
Wygląda na to, że to kwestia patchy dla kerneli nowszych od 2.6.34 niż samego iptables.

Być może chłopaki z dev.openwrt poprawią co trzeba, żeby na nowszych wersjach jądra kernelowski layer7 działał poprawnie.
Choć jak istotnie kierunek rozwoju layer7 idzie w userspace, to chyba nikt już się nie będzie zajmował robieniem patchy dla nowszych kerneli.

Pozdrawiam
Witek

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Patche layer7 na kernel 2.6.36 i iptables 1.4.10

Post autor: Pajaczek »

Pajaczek, a co ma iptables i w ogóle l7 do architektury? Bo ja jestem przekonany że to jest platform-independent.
Ok, może i racja. Nie zaglądałem ostatnio do patchy l7 bo nie miałem z nimi problemu. Inne patche które musiałem przerabiać bo nie chciały się poprawnie nałożyć były zależne od architektury. Tak mi się skojarzyło że WRT jest na różne od x86 architektury (choć port na x86 też chyba jest), co mi nasunęło że coś tam się może nie nałożyć gdzie trzeba (czy raczej nie nałożyć na gałąź x86). To był raczej strzał.
Dokładnie. Projekt WRT jest na źródłach linuksowych dla różnego sprzętu. Architektura nie ma tu nic do rzeczy pod warunkiem, że masz dla niej właściwy kompilator.
Ale niektóre części kernela, a co za tym idzie niektóre patche, są platform-dependent. Tak więc mogły by się trafić na stronie projektu patche przeznaczone wyłącznie dla głównych architektur dla których jest WRT skierowane, czyli wymienionych wcześniej.

No cóż, być może sugestia była nietrafiona ;)

ODPOWIEDZ